PSD2 Drittdienstleister – Der BaFin zeigen, dass man nicht nur Technik-Experte ist

Vor mehr als zwei Jahren startete ich einen Blog und teilte meine Erfahrungen mit anderen Drittdienstleistern, was es bedeutet, sich auf die neuen PSD2-Pflichten einzustellen. Unter anderem erklärte ich in drei Teilen von Juni 2016 bis September 2016, was wichtig für die verbleibende Vorbereitungszeit bis zum BaFin-Erlaubnisantrag ist. Wo stehen wir inzwischen? 

Acht Monate nach Inkrafttreten der deutschen PSD2, also des Zahlungsdiensteaufsichtsgesetzes (ZAG), ist die Praxisauswirkung der neuen Erlaubnispflichten ziemlich ernüchternd.

Nachdem aktive Anbieter von Zahlungsauslöse- (ZAD) und/oder Kontoinformationsdiensten (KID) zwischen dem 13. Januar und 13. April 2018 eine Erlaubnis beantragen mussten, hat die BaFin bis Ende September 2018 von dreizehn ZAD- und KID-Antragstellern sowie vierzehn KID-Antragstellern bis dato nur eine einzige ZAD-/KID-Erlaubnis erteilen können – und zwar Mitte August 2018 an figo (nebenbei: Banken, die ZAD/KID anbieten, müssen keinen Erlaubnisantrag stellen).

Natürlich könnte mich das freuen. Andererseits zeigt dieser Status quo, dass eine PSD2-Erlaubnis für innovative Unternehmen und somit auch für künftige Innovationen im Open Banking eine echte Hürde bzw. Verzögerung bedeutet. Selbst für figo, mit einem frühen PSD2-Fokus, war es kein leichter Weg. Deshalb möchte ich mit anderen Antragstellern meine Erfahrungen teilen, damit diese ihre Chancen bzw. die für ihre Erlaubnis notwendigen Anforderungen einzuschätzen wissen. Und zwar im folgenden Sinne:  

Frag nicht, was die BaFin für dich tun kann, sondern frag, was du für die BaFin tun kannst!

Das Aufsichtsrecht ist komplex. Aber Veränderungsinitiativen sollten im Nachgang eingebracht werden, da sie mehr Zeit benötigen als jeder Erlaubnisantrag. Wichtiger ist Fokus: Welche Punkte des § 10 ZAG-Anforderungskatalogs die größten Hürden mit sich bringen, ist nämlich extrem unternehmensspezifisch. Also sollte man frühzeitig versuchen, den Blick der Aufsichtsbehörde auf das eigene Unternehmen nachzuvollziehen. Das heißt auch, Anforderungen direkt im Geiste von “Warum könnte die BaFin das interessieren und was sollte sie zusätzlich wissen, um uns und unsere Vorgehensweise zu verstehen?” zu beantworten, statt nur demoralisiert im “Was denn noch alles?”-Modus allerlei Unterlagen zu sammeln.

Schauen wir uns oft unterschätzte Hürden im Rahmen des Lizenzantrags einmal genauer an:

  • Die Beschreibung des Geschäftsmodells nach § 10 Abs. 2 Nr. 1 ZAG nicht mit der Boilerplate oder dem Pitchdeck verwechseln! Ein Blick in die entsprechenden Leitlinien der Europäische Bankenaufsichtsbehörde – EBA (EBA/GL/2017/09) genügt, um diesen Fehler zu vermeiden. Die EBA-Leitlinien beschreiben die erwarteten Details für die einzelnen Lizenzantragspunkte – für ZAD-/KID-Antragsteller gilt dabei das Kapitel 4.1. und für KID-Antragsteller das Kapitel 4.2. Aus der Leitlinie 3 ergibt sich für ZAD/KID, dass man sein Geschäftsmodell in a) bis j) Einzelteilen (oder im Ergebnis 38 Seiten) beschreiben und Musterverträge zwischen allen an der Erbringung von Zahlungsdiensten beteiligten Parteien einreichen muss. Die gute Nachricht ist: Wenn man das Geschäftsmodell sauber beschreibt, abgrenzt und erklärt, wird es der BaFin leichter Fallen, den Rest des Antrags proportional zum Unternehmen und dessen Risiko einzuordnen.
  • Eine Versicherung für die Absicherung im Haftungsfall finden, die den regulatorischen Anforderungen genügt! In diesem Fall gibt es über die zugehörige Leitlinie 18 der EBA/GL/2017/09 hinaus sogar gesonderte EBA-Leitlinien EBA/GL/2017/08, die sich auf 14 Seiten nur mit der Berechnung der Mindestdeckungssumme der Berufshaftpflicht auseinandersetzen.
  • Frühzeitig die Einrichtung einer Internen Revision vorsehen! Diese ergibt sich nur umständlich aus dem Gesetz bzw. aus der Praxisauslegung zum ZAG.
  • Wesentliche Auslagerungen, die den BaFin-Anforderungen an das Outsourcing Controlling genügen müssen nicht übersehen! Dies fängt mit umfangreichen Auslagerungsverträgen aber auch der Einrichtung von Funktionen und Prozessen an und endet mit der faktischen Unmöglichkeit beider Aspekte, wenn ich dies als Start-up oder Mittelständler mit großen US Clouds erfüllen möchte.
  • Für den Nachweis zur Geldwäscheprävention eine unternehmensspezifische Richtlinie statt ein Muster einreichen! Ein Fehler dieser Art könnte schlimmstenfalls sogar das ZAD-/KID-Geschäftsmodell bedrohen, aber in jedem Fall zu unnötigen hohen Compliance-Kosten führen. Prüfer und Aufsicht könnten berechtigt eine Umsetzung der eigenen Richtlinie einfordern. Dann diskutiert man bereits auf einer Detailebene, die es erschwert, zu einer sinnvollen Auslegung des Geldwäschegesetzes mit Bezug zur Risikolage des Unternehmens und zum Gesetzeszweck zurückzukehren.
  • Das Inhaberkontrollverfahren für ein nicht inhabergeführtes Unternehmen frühzeitig einplanen! Bei diversen Inhabern mit einer > 10 % Beteiligung kann es anstrengend werden, alle notwendigen Auskünfte pro Inhaber bzw. wirtschaftlich Berechtigtem beizubringen. Bei Inhabern mit komplexeren Rechtsformen, wie z. B. Fondsstrukturen, kann das Verfahren Nachtschichten bedeuten.
  • Den Aufwand für ein EU-Passporting angemessen einplanen! Insbesondere wenn man für mehrere Länder gleichzeitig eine Anzeige nach § 38 Abs. 2 ZAG erstatten möchte, sollte man die Aufwände nicht unterschätzen.
  • Und schließlich die Auswirkungen der seit Januar 2018 geltenden ZAG- und BGB-Regeln auf das Front-end und den Datenfluss – also das Produkt – auch im Lizenzantrag auf dem Schirm haben!

Helfen Anwälte und/oder Berater?

Nur wenige Juristen schaffen es bisher, die Sprache der FinTech Branche zu sprechen. Die meisten werden zudem eher neue Fragen und Probleme aufwerfen, statt Lösungen für die spezifische Situation einzubringen. Auch BaFin-erfahrene Berater, die also klassisch Banken und Finanzdienstleister beraten, werden es sehr schwer haben, ihre Muster-Schemata über ein FinTech-Start-up bzw. -Produkt zu stülpen. Eine Challenge ist also bereits, passende Experten zu finden.

Wenn man eine Erlaubnis anstrebt, muss man über kurz oder lang aber internes Know-how aufbauen. Zwar kann man Teile auslagern, aber der operative Blick auf die Realität durch interne Compliance-Verantwortliche hilft, Aufsichtsrecht nachhaltig zu erfüllen. Kaum handhabbare Papierwüsten werden so vermieden. Und lebbare Prozesse bedeuten neben dem Erlaubnisbescheid auch wertvolle Nebeneffekte, wie Rechtssicherheit, Effektivität, Qualität und somit sogar Mitarbeiterzufriedenheit. Young Professionals können die Compliance intern treiben und ihr ein Gesicht geben. Im Antragsprozess sind für die Vertragsteile Anwälte hilfreich. Berater oder Anwälte können zudem die Antragsunterlagen als Sparringspartner der internen Experten qualitätssichern.

Was hilft, ist Struktur, Transparenz und Mut!

Tatsächlich helfen beim Erlaubnisantrag grundlegende Dinge, die man für sein Team nicht als selbstverständlich annehmen, sondern aktiv fördern sollte: Struktur, Transparenz und Mut.

Die BaFin hatte zum Jahresende 2017 eine sehr hilfreiche Tabelle veröffentlicht, um die ZAG Anforderungen und EBA-Leitlinien zu strukturieren. Antragsdokument für Antragsdokument dieser Struktur zu folgen, ist ein sinnvoller Anfang, um der BaFin die Arbeit zu erleichtern. In Ergebnis können inkl. Anlagen daraus um die 100 Dokumente erwachsen.

Daneben sollten Antragsteller versuchen, die Sprache der BaFin zu sprechen. Wichtig ist dabei vor allem, den üblichen Branchensprech in eine verständliche Sprache für Dritte zu übersetzen.

Ein adressatengerechter Antrag bedeutet dabei nicht zwangsläufig, mit jedem Satz Gesetze zitieren und behördendeutsche Schachtelsätze verfassen zu müssen. Wenn man also auf Anwaltsvorlagen angewiesen ist, aber die vorgeschlagene Beschreibung für das eigene Unternehmen nicht versteht, sollte sie zumindest hinterfragt werden. Eine Sprache für Antragsteller und BaFin zu finden, sollte oberstes Ziel eines transparenten Lizenzantrags sein, um Zeit und Ressourcen im Verlauf zu sparen.

Auch über die Sprache hinaus sollte Transparenz als Anspruch gelten. Die BaFin ist realistisch und erwartet von einem Start-up keine Wunder. Also empfiehlt es sich, mit offenen Karten zu spielen, wenn man noch Lücken aufweist. Lieber sollte man einen konkreten Umsetzungsplan als eine kopierte Richtlinie ohne Unternehmensbezug einreichen. Der BaFin eine glänzende Umsetzung zu vermitteln, die mit der Realität in keinerlei Verhältnis steht, wird weder im Antragsprozess noch im weiteren Verlauf der Zusammenarbeit helfen.

Die FinTech-Regulierung selbst ist zudem noch derart jung, dass jeder, der sich dahingehend als globaler Experte bezeichnet, schnell als Blender enttarnt werden kann. Und deshalb hilft es schließlich bei konkreten Fragestellungen, sinnvolle Lösungsideen aus Praxissicht zu liefern, statt rechtssichere Aussagen von Anwälten oder gar der BaFin zu erwarten. Mutig sein! Wenn die internen Experten überzeugt von einer Auslegung sind, weil man sie juristisch sauber für sein Unternehmen und vor allem auf den Gesetzeszweck bezogen feststellen kann, sollte man den Anwalt eher ignorieren und lieber direkt mit der Aufsicht diskutieren bzw. die eigene Auslegung im Rahmen des Lizenzantrags einreichen. Dies gilt umso mehr, bevor man ansonsten teure Compliance-Elemente umsetzt, die einem für den Gesetzeszweck nicht zielführend erscheinen.

Bis wann muss ich den Lizenzantrag einreichen?

“Ich will im Januar 2019 mit einem ZAD-/KID-Feature live gehen – wann muss ich den Lizenzantrag einreichen?” – Vor drei bis neun Monaten wäre ein guter Zeitpunkt gewesen. Denn die tatsächliche Dauer für ZAD- und/oder KID-Erlaubnisverfahren wird oft stark unterschätzt (zwischen sechs und zwölf Monaten). Als Regel gilt jedenfalls, dass man vor einem Go-live des regulierten Dienstes die entsprechende Erlaubnis erteilt bekommen muss. Leider ist die Marktsicht durch die PSD2-Übergangsfristen (z. B. Bestandsschutz nach § 68 Abs. 1, 2 ZAG) hier getrübt und diese Grundregel kaum bekannt. Schließlich verfolgt die BaFin wahrnehmbar auch noch keine Verstöße, was den Markt zusätzlich in einer Scheinsicherheit wiegt. Unabhängig von einer Verfolgung und Untersagung durch die BaFin, müssen Drittdienstleister spätestens ab September 2019 (der Erfahrung nach in einigen EU-Staaten bereits schon heute und voraussichtlich bereits für Testzwecke ab März 2019) für den Zugriff auf Banken PSD2-APIs eine entsprechende Erlaubnis nachweisen.

Auch wenn man tatsächlich Mist gebaut hat, also eine Frist verpasst hat, einem Missverständnis erlegen ist oder einfach unsicher ist, was die eigenen Erlaubnispflichten angeht, sollte man transparent bleiben: Lieber selbst bei der BaFin entschuldigen und die Klärung herbeiführen, als dies im schlimmsten Fall besorgten Verbrauchern oder der Konkurrenz zu überlassen. Denn die BaFin verfolgt Verstöße sehr öffentlich, z. B. über den Ad-hoc-Newsletter mit entsprechender Wirkung für die Unternehmensreputation.

Bedeutet eine fehlende Erlaubnis das Ende meines Service?

Wenn man kaum eine Chance sieht, die Aufwände einer eigenen Erlaubnis zu stemmen, sollte man sich mit dem figo RegShield vertraut machen. Das RegShield macht es unter bestimmten Voraussetzungen möglich, eigene Serviceangebote mit figo ZAD- und/oder KID-Diensten zu veredeln. figo kümmert sich um die Compliance, während der Partner sich weiterhin auf seinen Nutzer und deren Use Cases fokussieren kann.